为什么 SSL Labs 在我的 CA 证书过期时说我的证书没问题?
Why does SSLLabs say my certificate is fine when my CA's cert is expired?
我使用 ssllabs.com 对我的域进行了扫描,它是这样说的:
据我所知,我的一个 CA 是 USERTrust RSA 证书颁发机构,他们的证书已过期,SSLLabs 将其标记为红色,但它仍然说没有链问题,也没有浏览器抱怨与之通信我的域名。
我在 curl 抱怨与我的域通信时证书过期后进行了检查,这可能相关也可能不相关。
这是怎么回事?过期的CA证书怎么可能不是问题?
过期的证书实际上不用于验证。它是由您的服务器不必要地发送的,即您可以将它从您发送的证书链中删除,因为现代系统有一个受信任的 CA 内置,它有效地取代了这个过期的中间 CA。有关详细信息,请参见示例 USERTrust Intermediate Expiration in 2020。引用:
This is an old intermediate certificate and modern operating systems have a new version available and won't be affected. ... Based on what we know, equipment released or receiving security updates after June 2010 will most likely not be affected. ...
我使用 ssllabs.com 对我的域进行了扫描,它是这样说的:
据我所知,我的一个 CA 是 USERTrust RSA 证书颁发机构,他们的证书已过期,SSLLabs 将其标记为红色,但它仍然说没有链问题,也没有浏览器抱怨与之通信我的域名。
我在 curl 抱怨与我的域通信时证书过期后进行了检查,这可能相关也可能不相关。
这是怎么回事?过期的CA证书怎么可能不是问题?
过期的证书实际上不用于验证。它是由您的服务器不必要地发送的,即您可以将它从您发送的证书链中删除,因为现代系统有一个受信任的 CA 内置,它有效地取代了这个过期的中间 CA。有关详细信息,请参见示例 USERTrust Intermediate Expiration in 2020。引用:
This is an old intermediate certificate and modern operating systems have a new version available and won't be affected. ... Based on what we know, equipment released or receiving security updates after June 2010 will most likely not be affected. ...